W maju 2018 roku wchodzi ogólne rozporządzenie o ochronie danych osobowych RODO (fot. Counselling)

CHIP: Nazwa.pl odpowiada nam w sprawie płatnego audytu…

...A my pokazujemy wyjaśnienia serwisu ekspertowi od RODO.

Nasz wczorajszy artykuł dotyczący niespodziewanej oferty, jaką otrzymali klienci firmy Nazwa.pl, wywołał dość żywiołową reakcję wśród czytelników. Dziś otrzymaliśmy odpowiedź Nazwa.pl na nasze pytania, pojawiło się także wiele komentarzy, pytań i opinii, także płynących od specjalizujących się w tematyce danych osobowych prawników. Zbieramy je i omawiamy poniżej.

Zanim przeczytasz ten tekst warto zapoznać się z pierwszym artykułem dotyczącym oferty Nazwa.pl związanej z wprowadzeniem RODO. 

Nazwa.pl – RODO narzuca na nas obowiązek, klienci mają wybór

Na naszą prośbę o komentarz do całej sprawy firma przysłała nam obszerną odpowiedź, której istotne fragmenty przytaczamy poniżej, a której sensem jest, że zdaniem Nazwa.pl wszelkie opisane działania mają na celu przygotowanie sklepów klientów na wejście w życie RODO. To, przypominamy, nastąpi 25 maja.

W odpowiedzi czytamy m.in.: Aby wywiązać się z obowiązków narzuconych przez unijnego ustawodawcę, zmuszeni jesteśmy wdrożyć procedury i przepisy obligujące naszych Klientów do dostosowania wszystkich aspektów związanych z przetwarzaniem danych osobowych do nowych regulacji. 

Według Nazwa.pl to właśnie nowe przepisy obligują firmę do zadbania o dostosowanie do nowych przepisów. W dalszej części odpowiedzi serwis tłumaczy: Od momentu wejścia przepisów w życie, procedury stosowane w firmach muszą być w pełni zgodne z nowymi wymaganiami, pod rygorem nałożenia kar finansowych. Unijne ogólne rozporządzenie o ochronie danych RODO jest stosowane wprost, czyli jest wiążącym prawem dla wszystkich przedsiębiorców oraz zastępuje przepisy dotychczasowej polskiej ustawy o ochronie danych osobowych. Naruszenie przepisów może wiązać się z nałożeniem znaczących kar finansowych.

Oczywiście wspomniane kary zostały wytłuszczone w tekście. I oczywiście ich wysokość jest znaczna. Przypominamy, mogą one wynieść nawet do 20 milionów euro. To rzeczywiście kwota, której nałożenie dla większości przedsiębiorstw właściwie oznacza koniec istnienia. Nie wyjaśnia to niestety ani terminu, w którym Nazwa.pl poinformowała swoich klientów o sprawie, ani też zasadności wprowadzenia obligatoryjnego audytu. Władze firmy Nazwa.pl podkreślają swoją dbałość o bezpieczeństwo danych i zapewnienie zgodności z nowymi przepisami. Krzysztof Cebrat, prezes zarządu firmy, tak wyjaśnia w odpowiedzi dla CHIP-a całą sprawę:

Nazwa.pl dba o bezpieczeństwo danych Klientów i ich użytkowników, to dla naszej organizacji priorytet. Należy przypomnieć fakt, że firmy muszą być gotowe w dniu 25.05.2018 roku, a nie dopiero wdrażać rozwiązania – mówi prezes nazwa.pl. Każdy dostawca usług, który nie dostosuje swojej polityki przetwarzania danych osobowych do wytycznych RODO i nie będzie stale jej przestrzegał i monitorował, naraża siebie i swoich Klientów na kary, a te, przypomnę, nie są małe i zaczynają się od 10 milionów euro lub od 2% rocznego przychodu. Wybraliśmy podejście, które zabezpiecza naszych Klientów przed takimi konsekwencjami, nie chcemy czekać w nadziei, że temat rozejdzie się po kościach albo do momentu, w którym jakaś firma otrzyma karę finansową. Każdy, kto nie wprowadza w swoich usługach polityki przetwarzania danych osobowych, naraża Klientów na bardzo duże ryzyko – wyjaśnia Cebrat. – Rozumiemy, że część Klientów jest gotowa ponieść takie ryzyko i nie skorzysta z naszej oferty – dodaje.

W odpowiedzi firmy przewijają się więc głównie dwa elementy: dbałość o bezpieczeństwo danych (a tym samym, pośrednio, także klientów Nazwa.pl) oraz wysokość kar związanych z ewentualnym niespełnieniem wymogów RODO. Jednakże informacja o wprowadzeniu RODO nie jest nowa. Parlament Europejski zatwierdził rozporządzenie 14 kwietnia 2016 roku. Były więc zatem dwa lata na dostosowanie do nowych przepisów. Do terminu w informowaniu klientów Nazwa.pl także odniosła się w udzielonej nam odpowiedzi:

Chcąc dopełnić wszelkich formalności i wymagań, (red. Nazwa.pl) przedstawiła Klientom ofertę, która pozwala zabezpieczyć ich przed ryzykiem poniesienia kary za nieprzestrzeganie przepisów. Jednak usługi świadczone na takim poziomie wiążą się z dodatkowym kosztem dla Klienta. O zmianach, dotyczących konieczności dostosowania do przepisów RODO, informowaliśmy naszych Klientów 26 marca 2018 roku, zaś w dniu 25 kwietnia podaliśmy szczegółowe koszty związane z wymuszoną przez ustawodawcę zmianą. Wspominany w korespondencji z Klientami koszt wynika z zakresu prowadzonych analiz oraz stałego monitorowania przestrzegania przepisów.

Ryzyko i wybór – czy rzeczywiście?

Kontrowersje wśród użytkowników wzbudziły termin i zasadność opłat wprowadzonych przez Nazwa.pl.  Firma twierdzi jednak, że pozostawiła klientom wybór, w odpowiedzi czytamy bowiem:

Klienci nazwa.pl korzystający ze sklepu internetowego stają przed ważnym wyborem. Mogą  mieć spokojną głowę i pewność, że firma dba o profesjonalne zabezpieczenie i przetwarzanie danych osobowych albo narazić się na wspominane ryzyko.

Jak pisaliśmy w pierwszym tekście na ten temat, migracja sklepu internetowego zbudowanego w oparciu o kreator Skepicom jest utrudniona, ponieważ klient nie ma dostępu do bazy danych. Przeniesienie go na inny hosting to dość żmudna i mozolna praca, znacznie trudniejsza niż w przypadku sklepów opartych o popularne CMSy, jak Magento czy Presta Shop. Jeszcze wczoraj skierowaliśmy do Nazwa.pl pytanie o udostępnianie bazy danych sklepu tym klientom, którzy nie zdecydują się na oferowane przez firmę usługi audytu i powierzenia przetwarzania danych osobowych. Niestety nie otrzymaliśmy odpowiedzi.

Jak stanowi prawo, czyli czy RODO rzeczywiście wymusza audyt i opłaty?

Zdaniem Nazwa.pl to ustawa wymusza opisane przez nas działania, jednak w RODO nie znaleźliśmy podobnego zapisu. O opinię zapytaliśmy więc specjalizującego się w tematyce ochrony danych osobowych doktora nauk prawnych, Pawła Litwińskiego, który jeszcze wczoraj skomentował nasz artykuł na Twitterze:

https://twitter.com/LitwinskiP/status/989715949627441152

CHIP: Czy, jak utrzymuje Nazwa.pl, rzeczywiście RODO może wymusić na firmie świadczącej usługi hostingowe przeprowadzenie audytu i powierzenia przetwarzania danymi osobowymi na koszt klienta?

dr Paweł Litwiński: Ja komunikatu prasowego nie czytam jako próby wymuszenia czegokolwiek – Nazwa oferuje swoim klientom ofertę świadczenia usług: Decyzja o skorzystaniu – lub nie – z tej oferty powinna być całkowicie dobrowolną decyzją klientów.

CHIP: Kto w takiej sytuacji pełni rolę ADO, a kto procesora danych osobowych i czy może Pan objaśnić różnicę naszym czytelnikom?

dr Paweł Litwiński: Każdy podmiot, który przetwarza dane osobowe, jest albo ich administratorem, albo przetwarzającym. Najprościej ujmując, administrator to właściciel danych – to taki podmiot, który decyduje o tym, co i jak zrobi z danymi. Będzie to np. podmiot prowadzący sklep internetowy wobec danych klientów sklepu. Przetwarzający o niczym nie decyduje – przetwarza dane w takim zakresie, w jakim zleci mu to administrator. Typowym przetwarzającym będzie np. podmiot zapewniający usługi hostingowe, w oparciu o które działa sklep internetowy.

Administratorami danych osobowych są klienci Nazwa.pl korzystający ze sklepu internetowego oferowanego przez Nazwa. Nazwa jest przetwarzającym dane osobowe osób korzystających ze sklepów działających w infrastrukturze Nazwa.

Administrator danych może albo sam przetwarzać dane osobowe, albo korzystać z usług podwykonawcy – w tym przypadku z usług Nazwa.pl. Ale administrator danych powinien – jest to jego prawny obowiązek na gruncie art. 28 RODO – korzystać z usług takich podwykonawców, którzy zapewniają odpowiednie bezpieczeństwo danych osobowych. Stąd to klienci Nazwa powinni raczej audytować Nazwa.pl celem ustalenia, czy ten podmiot zapewnia odpowiedni poziom bezpieczeństwa danych osobowych. Całą sytuację widzę więc w kontekście ogólnego RODOszaleństwa – Nazwa.pl nie ma obowiązku audytowania swoich klientów, a klienci Nazwa nie mają obowiązku poddania się takiemu audytowi; wręcz przeciwnie, to Nazwa powinna wykazać wobec swoich klientów, że chroni należycie ich dane osobowe. Z drugiej strony, Nazwa może oferować usługę audytu dla swoich klientów będących administratorami danych – ale usługę dobrowolną dla tych klientów, z której mogą, ale nie muszą, skorzystać.

CHIP: Czy zatem wyjaśnienie Nazwa.pl, że chodzi głównie o przystosowanie do nowych przepisów jest wyczerpujące? Jak pan ocenia podobną praktykę?

dr Paweł Litwiński: Być może była to próba zaoferowania nowej usługi na fali RODOszaleństwa. Usługi, z której klienci Nazwa wcale nie muszą korzystać.

Użytkownicy i konkurencja

Często podnoszonym tematem jest nawet nie tyle wysokość opłat ile termin ich wprowadzenia. Rzeczywiście Nazwa.pl nie zostawiła wiele czasu na reakcję. O ile przeniesienie sklepu na popularnych CMS-ach jest w tym terminie możliwe i wykonalne, o tyle bez dostępu do bazy danych trzeba nieco więcej uzupełnić ręcznie. A przecież RODO nie jest nowością, na co uwagę zwracają też nasi czytelnicy.

Do sprawy odniosła się także konkurencja. Home.pl na swoim profilu na Facebooku podało, że nie zamierza pobierać jakichkolwiek opłat za umowy powierzania danych oraz audyty RODO sklepów internetowych, a ich usługa sklepu internetowego jest gotowa na RODO.

Także LH.pl zamieściło oświadczenie, w którym czytamy: Odpowiadając na liczne zapytania, informujemy, że jesteśmy przygotowani na wejście w życie nowych przepisów RODO/GDPR. Zawarcie umów powierzania danych osobowych będzie udostępnione wszystkim klientom LH.pl bezpłatnie.

Bardziej szczegółowo swoje podejście objaśnia grupa Hekko.pl. Zwraca ona uwagę, że wcześniejsze umowy dotyczące powierzenia przetwarzania danych osobowych, będące zgodne z obowiązującym dotąd GIODO, wymagały papierowej formy, a nowe, po 25 maja, będzie można zawiązać elektronicznie, co powinno ograniczyć koszty. Grupa podaje także, że dotąd pobierała za usługę przetwarzania danych osobowych od 100 do 200 złotych rocznie. Sugeruje, że teraz może nawet obniżyć tę kwotę. Co więcej, Artur Pajkert, przedstawiciel Hekko.pl twierdzi, że:

Ponieważ nie sposób przewidzieć, jakie krajowe przepisy wokół danych osobowych i RODO zostaną wprowadzone (bo wygląda na to, że na razie rozporządzenie wejdzie w życie bezpośrednio, bez krajowych przepisów), to jest to stan „na teraz”. Gdyby ustawodawca wprowadził w przyszłości dodatkowe obowiązki, które powodowałyby powstawanie dodatkowych kosztów – możliwe, że takie opłaty zostaną w przyszłości wdrożone i u nas, choć pewnie wówczas także w innych firmach. Na razie jednak, wobec dostępnej nam wiedzy prawnej,  takiego planu nie ma.

Oznacza to w praktyce, że chociaż obecny stan prawny nie wymusza wprowadzania żadnych dodatkowych opłat, to samo RODO jest raczej zbiorem wytycznych i może okazać się, że polscy prawodawcy wprowadzą bardziej szczegółowe przepisy, które mogą wymusić dodatkowe działania. Na tę chwilę jednak takowych brak.

Podsumowanie – czyli plusy całej sprawy

Nietrudno zgodzić się z opiniami wskazującymi na jeden pozytywny aspekt tej sprawy. Z pewnością przyczyni się ona do zwiększenia świadomości na temat RODO. Szkoda tylko, że tak późno. Wcześniejsze regulacje GIODO wśród wielu firm nie zdobyły należytej uwagi. Nowe przepisy straszą wysokimi karami, jednocześnie nie precyzując oczekiwań i wymogów.

Ocenę wprowadzonego przez Nazwa.pl systemu opłat pozostawiamy czytelnikom. Opinia samej firmy Nazwa.pl jest w tym przypadku wyrażona jasno, a pełną treść odpowiedzi przesłanej CHIP-owi możecie przeczytać tutaj. | CHIP